back

0. Copertina

1. Editoriale

2. La pagina dei lettori

3. Storia e filosofia di debian

- Zack

4. Il sistema operativo debian

- Debian4Children

5. Debian Ports

- Debian GNU/Hurd: aggiornamenti

6. Hardware & Debian

- Pam_usb

7. Tips & Tricks

- PGP: configurazione e utilizzo in Debian
- Squid e DansGuardian: come costruire un proxy con filtro dei contenuti web

8. Softwares in analisi

- MoBlock (MoBloquer)
- Tiger: uno strumento per l'audit di sicurezza

9. Il Kernel Linux

- Introduzione ai Kernel: prima parte

10. Impressum

    • --INFO--: informazioni che non sono necessariamente una violazione della politica di sicurezza, ma che sarebbe utile l'amministratore conoscesse (la segnalazione è attivata attraverso il parametro Tiger_Show_INFO_Msgs nel file di configurazione /etc/tiger/tigerrc);
    • --ERROR--: messaggi relativi ad errori nella esecuzione di tiger (o una dei suoi script) probabilmente causato da un errore di configurazione del programma, da un problema di installazione oppure perché un file necessario è mancante;
    • --CONFIG--: informazioni sulla configurazione del programma;
  • un codice alfanumerico identificativo del tipo di anomalia (ad esempio, [lin002i] ) e che la ricollega all'elenco delle descrizioni dettagliate delle possibili anomalie (contenute nei file installati nel percorso /usr/lib/tiger/doc e che possono essere richiamate attraverso il comando tigexp); da notare che l'ultima lettera del codice identificativo corrisponde alla prima del livello di gravità;
  • la descrizione sintetica dell'anomalia (ad esempio, "The process `lisa' is listening on socket 7741 (TCP) on every interface.") Ecco un esempio di segnalazione:
--WARN-- [lin002i] The process `lisa' is listening on socket 7741 (TCP) \
on every interface.

È, inoltre, possibile

  • consultare un resoconto chiedendo al programma tigexp di visualizzare la descrizione dettagliata di ogni anomalia segnalata utilizzando il comando: 
     # tigexp -f file_contenente_il_resoconto
  • analizzare i resoconti ottenendone un estratto nel quale ciascuna tipologia di anomalia è riportata, se ripetuta, una sola volta con il comando: 
     # tigexp -F file_contenente_il_resoconto
  • formattare un resoconto in formato HTML impostando l'opzione -H del programma /usb/sbin/tiger.

È utile in questa sede far presente che è possibile escludere sistematicamente dai resoconti le segnalazioni che sono ritenute non rilevanti; le anomalie riscontrate, infatti, sono scartate se corrispondenti almeno ad una delle "espressione regolari" [28] contenute in un file a tal fine predisposto (/etc/tiger/tiger.ignore).

Avvio manuale

Quando avviato manualmente con il programma /usr/sbin/tiger, tiger genera un unico resoconto nel percorso /var/log/tiger il cui nome è composto dai seguenti elementi corrisponde al pattern:

  • security.report.host-name.date.time

dove gli ultimi tre campi corrispondono rispettivamente al nome assegnato al computer (host-name), alla data (formato YYMMDD) ed ora (formato HH:MM) in cui è iniziato il controllo; ad esempio, nel caso di avvio il 14 marzo 2010 alle ore 19:39 su un computer chiamato debian-lenny:

$ su
# cd /var/log/tiger
# ls -la security*
-rw------- 1 root root 9772 14 mar 20:15 \
security.report.debian-lenny.100314-19:39

Tiger

1. Politica di sicurezza e audit

- Definizioni
- Cenni storici

2. Tiger

- Introduzione
- Finalità
- Architettura
- Installazione
- Configurazione
- Modalità di utilizzo
- Generazione dei resoconti

3. Casi d'uso

- Ambiente di test
- Caso 1: Avvio manuale - Caso 2: Avvio automatico
- Caso 3: Disabilitazione di una segnalazione

4. Discussione

5. Conclusione

back